Auftragsverarbeitungsvereinbarung

1. Gegenstand und Dauer

Gegenstand der Verarbeitung ist die Bereitstellung der WaiverKit-Plattform für digitale Haftungsausschlüsse an den Verantwortlichen. Die Verarbeitung erfolgt, solange der Verantwortliche ein aktives Konto unterhält, sowie für einen etwaigen Aufbewahrungszeitraum nach Beendigung gemäß Abschnitt 11.

2. Art und Zweck der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zum Hosten, Bereitstellen, Absichern und Unterstützen des WaiverKit-Dienstes: Erfassen und Speichern unterzeichneter Haftungsausschlüsse, Erzeugen von PDF-Datensätzen, Versand transaktionaler E-Mails, Authentifizierung von Nutzern, Zahlungsabwicklung sowie Erstellen von Analysen im Auftrag des Verantwortlichen.

3. Arten personenbezogener Daten und Kategorien betroffener Personen

Verarbeitete personenbezogene Daten können umfassen:

• Identitätsdaten der Unterzeichnenden (Name, Geburtsdatum, Anschrift, E-Mail, Telefon)
• Signaturbilder und getippte Signaturen
• Daten von Erziehungsberechtigten bei minderjährigen Unterzeichnenden
• Kontodaten geschäftlicher Nutzer (Name, E-Mail, Authentifizierungskennungen, IP-Adresse)

Zu den Kategorien betroffener Personen zählen: Teilnehmende, die Haftungsausschlüsse unterzeichnen, Erziehungsberechtigte minderjähriger Teilnehmender sowie Mitarbeitende oder autorisierte Nutzer des Verantwortlichen.

4. Pflichten und Rechte des Verantwortlichen

Der Verantwortliche ist für die Rechtmäßigkeit der Erhebung und Verarbeitung personenbezogener Daten verantwortlich, für das Einholen erforderlicher Einwilligungen betroffener Personen, für die Richtigkeit der dem Auftragsverarbeiter erteilten Weisungen sowie dafür, dass die von ihm konfigurierten Haftungsausschluss-Vorlagen und Workflows geltendem Recht entsprechen. Der Verantwortliche behält alle Rechte an den personenbezogenen Daten und kann dem Auftragsverarbeiter jederzeit dokumentierte Weisungen erteilen.

5. Unterauftragsverarbeiter

Der Verantwortliche ermächtigt den Auftragsverarbeiter, die folgenden Unterauftragsverarbeiter zur Erbringung des Dienstes einzusetzen:

• Clerk (Authentifizierung, Sitzungsverwaltung und Nutzerverzeichnis).
• Stripe (Zahlungsabwicklung und Abonnement-Abrechnung).
• Resend (Zustellung transaktionaler E-Mails).
• Cloudflare R2 (Objektspeicher für Signaturbilder und PDF-Artefakte).
• Vercel (Anwendungshosting, Edge-Netzwerk und Anfrage-Routing).
• Neon (Postgres) (verwaltetes Postgres-Datenbankhosting für strukturierte Daten).

Der Auftragsverarbeiter wird den Verantwortlichen über jede geplante Hinzunahme oder Ersetzung von Unterauftragsverarbeitern mit einer angemessenen Gelegenheit zum Widerspruch aus berechtigten Gründen informieren.

6. Sicherheitsmaßnahmen

Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten, darunter:

• Verschlüsselung bei der Übertragung (TLS 1.2+) und im Ruhezustand für Datenbank und Objektspeicher
• Rollenbasierte Zugriffskontrollen und IAM nach dem Least-Privilege-Prinzip in der gesamten Infrastruktur
• Mandantentrennung, durchgesetzt auf Anwendungs- und Abfrageebene
• Audit-Protokollierung administrativer Aktionen und Zugriffe auf personenbezogene Daten
• Regelmäßige Backups, automatisiertes Abhängigkeits-Scanning und Verfahren zur Vorfallsreaktion

7. Rechte betroffener Personen

Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung seiner Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch gemäß den Artikeln 15 bis 22 DSGVO zu beantworten.

8. Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter wird den Verantwortlichen ohne unangemessene Verzögerung und in jedem Fall innerhalb von 72 Stunden nach Kenntnisnahme einer Verletzung des Schutzes personenbezogener Daten, die Daten des Verantwortlichen betrifft, informieren. Die Mitteilung beschreibt die Art der Verletzung, wahrscheinliche Folgen, ergriffene oder vorgeschlagene Maßnahmen sowie eine Kontaktstelle für weitere Informationen.

9. Internationale Datenübermittlungen

Werden personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums, des Vereinigten Königreichs oder der Schweiz in ein Land ohne Angemessenheitsbeschluss übermittelt, erfolgen solche Übermittlungen auf Grundlage der Standardvertragsklauseln (SCCs) der Europäischen Kommission sowie, soweit anwendbar, des UK International Data Transfer Addendum und des Schweizer Zusatzes, zusammen mit etwaigen zusätzlichen Maßnahmen, die sich aus der Transfer Impact Assessment ergeben.

10. Auditrechte

Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die zum Nachweis der Einhaltung dieser AVV vernünftigerweise erforderlich sind, und ermöglicht und unterstützt Audits einschließlich Inspektionen, die vom Verantwortlichen oder einem vom Verantwortlichen beauftragten Prüfer durchgeführt werden, vorbehaltlich angemessener Vertraulichkeitspflichten und nicht häufiger als einmal pro Kalenderjahr, außer im Falle eines dokumentierten Sicherheitsvorfalls oder einer behördlichen Anfrage.

11. Beendigung, Rückgabe und Löschung

Nach Beendigung der Vereinbarung wird der Auftragsverarbeiter nach Wahl des Verantwortlichen alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten löschen oder zurückgeben und bestehende Kopien löschen, sofern nicht geltendes Recht die weitere Speicherung erfordert. Backups, die personenbezogene Daten enthalten, werden im ordnungsgemäßen Verlauf des Backup-Aufbewahrungszyklus gelöscht.